Glossaire — navigateur, cookies et stockage (connexion)

La façon dont les navigateurs gèrent cookies et stockage affecte directement redirections, fenêtres contextuelles et sessions. Il s’agit d’aide, pas d’un guide d’audit de sécurité.

Contexte first party vs tiers

Sens : First party — le cookie ou le stockage est lié au site que l’utilisateur voit (votre domaine enregistrable). Tiers — lié au domaine d’un autre site (p. ex. iframe ou requête cross-site).

En pratique : Les flux de connexion qui traversent des domaines (votre site ↔ IdP) sont sensibles aux restrictions des cookies tiers ; privilégiez les redirections first party et les modèles décrits dans Sessions, cookies et jetons.

Sens : Indique au navigateur quand envoyer un cookie sur des requêtes cross-site — valeurs comme Strict, Lax, None (souvent avec Secure).

En pratique : Des réglages SameSite incorrects provoquent des échecs silencieux après connexion ou sur les rappels ; comparez environnements qui fonctionnent et ceux qui cassent dans Application → Cookies.

HttpOnly

Sens : Cookie non lisible depuis JavaScript dans le navigateur — réduit le vol de cookies de session par XSS lorsqu’il est utilisé pour les ID de session.

En pratique : Si votre application stocke des jetons en mémoire ou dans un stockage non HttpOnly, les modèles de menace diffèrent ; suivez les normes de votre équipe sécurité.

Indicateur Secure

Sens : Le cookie n’est envoyé que via HTTPS.

En pratique : Requis pour la connexion en production ; des rappels http/https mélangés cassent les flux de type OAuth.

Stockage local / de session

Sens : Stockage clé/valeur limité à l’origine dans le navigateur — survit aux rechargements (local) ou à la session d’onglet (session).

En pratique : Ne stockez pas les jetons d’actualisation ni les secrets à longue durée ici sauf si votre modèle de menace l’autorise explicitement ; beaucoup d’équipes préfèrent les cookies HttpOnly ou les sessions côté serveur pour les jetons à haut risque.

Partitionnement du stockage

Sens : Les navigateurs isolent de plus en plus le stockage par site de premier niveau ou cadre, afin que les tiers ne partagent pas facilement d’identifiants entre sites.

En pratique : Explique pourquoi les iframes et la connexion intégrée sont plus difficiles que les redirections de premier niveau ; testez Safari et Chrome avec de vrais domaines.

« Phase-out » des cookies tiers

Sens : Les navigateurs restreignent les cookies tiers par défaut ; certains fournisseurs utilisent CHIPS, related website sets ou d’autres mécanismes.

En pratique : Appuyez-vous sur les modèles documentés Intastellar et les redirections first party plutôt que sur des tutoriels OAuth anciens.

Last updated Apr 7, 2026